Безопасен ли magento http / https или весь веб-сайт вынужден использовать https?

8

Я настраиваю веб-сайт magento, но одна вещь, которую я заметил, - это https, который можно использовать только для защищенного контента, такого как страницы входа, данные учетной записи и т. Д.

Это означает, что на страницах продукта используется обычный http.

Не означает ли это, что файл cookie, передаваемый по протоколу http, уязвим для кражи любой программой, отслеживающей файлы cookie?

Или Magento обрабатывает эти страницы, не отправляя cookie и получая страницу по умолчанию, а затем используя локальный cookie, чтобы изменить заголовок, содержащий пользовательское имя, изображение профиля и т. Д.

Gareth
источник

Ответы:

6

httpsтребуется только на страницах, которые предоставляют данные, например, на странице оформления заказа. Тем не менее, использование https URL для небезопасного базового URL не повредит

Если ты беспокоишься о людях , ворующих печенье (угон сессий) пойти System > Configuration > Web > Session Validation Settingsи включитьValidate REMOTE_ADDR

[РЕДАКТИРОВАТЬ] - Кредиты @ AnnaVölkl

  • так что если вы передадите cookie как через HTTP, так и через HTTPS, его будет довольно легко украсть
  • если вы установите cookie только для HTTPS (стандартный метод setcookie PHP имеет флаг $ secure, вы потеряете сеанс при переключении с http на https. но это, конечно, безопасно.

Использовать только HTTP Определяет, могут ли файлы cookie Magento использоваться только по незащищенному каналу (http) или также по зашифрованному каналу (https). Варианты включают в себя: Да / Нет

нет никаких причин больше не использовать https для всего сайта: https://istlsfastyet.com

Сандер Мангель
источник
Спасибо за ответ, не могли бы вы объяснить, что это делает?
Гарет
Он проверяет, соответствует ли идентификатор сеанса в файле cookie сохраненному сеансу + IP-адрес пользователя, который был сохранен в этом сеансе. Так что для меня украсть ваше значение cookie не получится без вашего IP
Сандер Мангел
Таким образом, это защитит от кражи файлов cookie в сетях, но не в общедоступных. Есть ли способ предотвратить это в общедоступной сети без полного https по всему сайту
Gareth
Я думаю, что вы правы, но я не уверен. Я попросил кого-то еще помочь мне :)
Сандер Мангель
1
@ Гарет Я обновил ответ с помощью Анны :)
Сандер Мангель